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L'invention concerne un Generateur d'Alea numerique reposant 
notamment sur un compresseur arithmetique. 

Elle s'applique par exemple dans les dispositifs du domaine 
industriel utilisant de I'alea pur. On peut Tutiliser dans les jeux de hasard sur 
5 Internet, dans le systeme de tirage RAPIDO de la Frangaise des jeux ou 
encore dans des calculs d'Astronomie. 

Elle peut aussi etre utilisee dans le donnaine de la cryptologie, la 
security des algorithmes de chiffrement et de nonnbreux protocoles 
cryptographiques reposant sur Texistence de parametres totalement 
10 aleatoires (cies de chiffrement, challenge,...). 

L'invention trouve aussi son application dans les procedures 
securisees en ligne (achat, tele-procedure, authentification de documents, 
etc.) reposant sur Tutilisation de la signature electronique qui accentue [es, 
besoins en alea pur « temps reel ». Un serveur de commerce electronique 
16 doit en effet etre capable d'effectuer plusieurs centaines de signatureis 
electroniques par seconde. 

La generation d'alea numerique a I'aide d'un dispositif 
electronique consiste a echantillonner plus ou moins directement une 
20 grandeur instable et non reproductible. Cette grandeur peut etre Tamplitude 
d'un signal analogique, la dur6e entre deux ev^nements, etc.. 

L'aspect aleatoire de Tinformation obtenue est alors liee aux 
caracteristiques du signal d'origihe et/ou a Timprecision de la mesure. Dans 
la pratique actuelle, les industriels utilisent differentes methodes pour 
25 generer de TAlea, par exemple, Tampliflcation analogique d'un signal bruite, 
Techantillonnage d'une horloge A avec une horloge B asynchrone. 

Ualea genere par ces diverses sources physiques presente 
generalement des defauts statistiques caracteristiques, tels que des defauts 
d'equidistribution, Texistence de pseudo periodes, etc.. Ces defauts ont pour 
30 consequence que I'entropie reelle de I'alea produit est inferieure a son 
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entropie maximale theorique (I'ehtropie de SHANNON mesure I'information 
moyenne apportee par une variable aleatoire). 

Plusieurs solutions plus ou moins complexes et plus ou moins 
couteuses existent alors pour eliminer ces biais caracteristiques, par 
5 exemple : 

• L'ajout en aval d'un dispositif cryptographique de lissage permettant de 
produire une suite d'alea parfaite a partir d'une suite de debit plus elevee 
presentant des defauts entropiques. Le lisseur utilise est dans la pratique 
un Generateur de Pseudo Alea (GPA) pouvant etre implemente soit en 

10 materiel, soit en logiciel en fonction des contraintes souhaitees de 
securite et de debit. La figure 1 represente le schema d'un tel dispositif, 

• ^utilisation de plusieurs sources physiques en parallele pour lisser les 
defauts. 

Par ailleurs, la complexite de ces differentes architectures 
15 (implementation du GDA dans deux FPGA) fournissent des methodes de 
generation d'alea qui ne sont pas adaptees, en terme de debit, aux besoins 
«temps reel » en alea parfait. 

La demande de brevet EP 1 223 506 decrit un generateur d'alea 
qui met en oeuvre une m6thode de compression a base de dictionnaire. 
20 Cette methode est bien adaptee ^ la compression de sources a forte 
redondance mais ne convient pas pour la compression de suites binaires 
provenant de Techantillonnage d'une source physique. 

> L'idee sur laquelle reposent le proc6de et le dispositif selon 
Tinvention utilise notamment le concept d'extracteur d'Alea. Un extracteur 
25 d'alea est un dispositif deterministe qui est destine a etre insere a la suite 
d'une source d'alea physique pour en supprimer les defauts. 

L'invention concerne un generateur de nombres aleatoires adapte 
a recevoir en entree un nombre de bits provenant d'une source physique. II 
30 est caracterise en ce qu'il comporte en combinaison au moins une source 
physique generant des symboles, un codeur arithmetique et des moyens 
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adaptes a lisser les biais residuels en sortie du codeur. L'association du 
codeur arithmetique et de la fonction lineaire est appele extracteur d'alea et 
constitue le dispositif deterministe du generateur d'alea. 

Uinvention conceme aussi un procede permettant de generer 
5 des nombres aleatoires comportant en combinaison au moins les etapes 
suivantes : 

• Recevoir plusieurs symboles d'une source physique, 

• Transmettre les symboles a une etape de codeur arithmetique, 

• Lisser les symboles codes en utilisant une fonction lineaire. 

10 

L'invention presente notamment les avantages suivants : ^ 

• Une facilite d'implementation aussi bien en materiel qu'en logiciel, 

• Une possibiiite d'offrir des debits en alea parfait qui correspondent aux 
besoins des serveurs de commerce electronique (e-commerce), - 

15 • Une adaptability de I'extracteur par rapport aux caracteristiques deja j 
source physique qui sont susceptibles d'evoluer au cours du temps, ^ . - 

• La possibiiite d'implementer une source physique rudimentaire pouvant i 
eventuellement generer des suites binaires ayant de faibles 
caracteristiques aleatoires (fort biais a Tequidistribution, dependances 

20 • entre les bits gen6res : caractere markovien). 

i. * 

D'autres caracteristiques et avantages de invention apparaitront 
mieux ^ la lecture de la description qui suit d'un exemple donne a titre 
illustratif et nullement limitatif annexe des figures qui representent : 
25 • La figure 1 un synoptique de Generateur d'Alea implements selon Tetat 
de Tart anterieur, 

• La figure 2 un schema bloc fonctionnel d'un exemple d'architecture d'un 
generateur aleatoire selon l'invention, 

• La figure 3 un diagramme du codeur arithmetique. 

30 • La figure 4 un synoptique de la fonction lineaire de sortie. 
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La figure 2 fournit un schema synoptique d'un exemple 
' d'architecture de Generateur d'Alea salon Tinvention. II comporte par 
exemple une source physique quelconque 1 et un extracteur d'aiea 2 
5 dispose juste apres. L'extracteur d'aiea 2 se compose d'un codeur 
ahthmetique 3 et d'une fonction lineaire de sortie 4. 

Pour une mise en oeuvre simple de la source, on peut par 
exemple generer un signal numerique oscillant, dont la frequence est 
instable en fonction de la temperature, de la tension d'alimentation et de la 

10 dispersion des caracteristiques entre puces electroniques. II suffit alors 
d'echantlllonner ce signal a I'aide d'une horloge issue du systeme (horloge 
du microprocesseur de la carte par exemple). Les deux horloges etant 
asynchrones et glissantes Tune par rapport a I'autre, le signal resultant est 
peu predictible et peu reproductible. 

15 Le codage arithmetique est un codage statistique dynamique qui 

s'adapte aux caracteristiques de la source physique. Le codeur est par 
exemple parametre pour traiter les symboles generes par la source physique 
independamment les uns des autres (modeie de Bernoulli) ou bien de fagon 
dependante (modeie de Markov). Dans Texemple donne, le modeie choisi est 

20 un modeie Markovien qui se revele particulierement efficace pour modeliser 
le type de source physique que nous decrivons dans cette invention. 

La loi de probability utilisee par le compresseur est par exemple 
ajustee en permanence en fonction des symboles reellement apparus. 

Un des interets de I'invention est que le codeur arithmetique est 

25 tres simple a implementer en materiel. Le GDA (Generateur d'Alea) constitue 
par la source physique, le codeur et la fonction lineaire de sortie est par 
exemple implementable dans un composant programmable de type FPGA. 
Les etapes du precede sont realisees dans un calculateur programme pour 
executer certaines taches algorithmiques. 

30 En consequence, la loi de probabilite utilisee par le compresseur 

est ajustee en permanence en fonction des symboles reellement apparus. 
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Le principe du codage arithmetique est de coder un message par 
un nombre repr^sente par exemple en numeration binaire et en virgule 
flottante. Ce nombre est issu de calculs dintervalles emboites. Chaque 
intervalle correspond a un symbole de la source et sa taille est 
5 proportionnelle a sa frequence d'occurrence. La compression est obtenue en 
notant que le nombre de chiffres significatifs necessaires pour decider de 
I'appartenance a un intervalle est plus faible que pour les gros intervalles. 
Chaque symbole s est par exemple represents par un intervalle [ms, Ms] de 
telle sorte que : 

10 > La taille de Tintervalle A = M, -w, est proportionnelle a la probabilite 
d'apparition du symbole s ; 

> Les intervalles sont disjoints ; 

> La reunion des intervalles est egale a Tintervalle [0,1] 

L'algorithme de codage est alors le suivant : 
15 1 . initialiser w -> Oet Af 1 

2. mettre a jour pour chaque symbole s du message a 
comprimer : 

a. A<r-M -m \ 

b. m -f- w + Ax ; , 
20 c. M <- m + A X 

3. le message comprime est la derniere valeur de m. 

L'exemple chiffre donne ci-apres illustre de maniere simpliste le 
codage arithmetique en virgule flottante. 
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La source physique utilisee est S={a,b,c}. Les frequences 
d'occurrence des trois symboles sont donnes dans le tableau 1 ci dessous : 



Symbole 


Frequence 


[ms, Ms] 


a 


1/2 

* 


(0.0. 0.5) 


b 


1/4 


(0.5, 0.75) 


c 


1/4 


(0.75, 1.0) 



Le tableau 2 ci apres decrit les etapes du codage de la chame de caractere 



5 « baca ». Le message comprime est la derniere valeur de m 



Symboles a 
coder 


Taille de 
I'intervalle 


m 


M 






0 


1 


b 


1 


0.5 


0.75 


a 


0.25 


0.5 


0.625 


c 


0.125 


0.59375 


0.625 


a 


0.03125 


0.59375 


0.609375 



La figure 3 schematise un exemple d'architecture d'un codeur 
arithmetique, 

Le codeur comporte par exemple une table des statistiques ou 
10 RAM 13, recevant des informations de contexte 12. Les informations de 
contexte sont delivrees par la source physique sous la forme d'un caractere 
courant. Des registres de 16 bits (references 10 et 11) memorisent les 
valeurs inferieure et superieure de rinten/alle precite. Une unite logique 
(ALU) 14 est programm6e pour effectuer une mise a jour des valeurs des 
15 bornes des intervalles Inf et Sup en fonction des nouvelies tables statistiques 
stockees en F?AM 13. 
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Un comparateur 15 effectue une comparaison des registres Inf et 
Sup et delivre les bits de poids forts que ces registres ont en commun. . 

Le compresse de la source est un intervalle qui est decrit, a 
chaque instant par les deux registres 10, 11 qui contiennent respectivement 
5 la borne inferieure et la borne superieure. Seuls les 16 derniers bits 
significatifs de rintervalle courant sont memorises, c'est-a-dire, ceux a partir 
desquels les chiffres sont distincts. 

Les etapes de codage d'un symbole consistent par exemple a : 

• Mettre a jour la table des statistiques 13 sur les symboles d'entree en 
10 fonction des contextes 12, i.e, les symboles precedents, 

• Calculer par une regie de trols, au moyen d'une ALU 14, les nouvelles 
valeurs des bornes de rintervalle, 

• Vider les registres des bits de poids fort qu'ils ont en commun. Ces bits 
constituent la sortie du comparateur 15. 

15 Dans la pratique, on utilise par exemple Tarithmetique entiere et non pas 
reelle. Les registres ayant des tailles plus reduites que le message a 
comprimer, on vide au fur et a mesure que les nouveaux symboles a 
coder arrivent ies registres contenant les valeurs de m et de M des bits de 
poids fort qu'ils ont en commun. 
20 La figure 4 schematise un exemple de moyens permettant de 

mettre en oeuvre la fonction lineaire de sortie. Cette derniere a notamment 
pour but de lisser les biais residuels qui peuvent subsister en sortie de la 
fonction de compression. Elle a ete congue pour que, si les entrees ont un 
biais. residue! majore par une quantlte s, alors les composantes de Toctet de 
25 sortie auront un biais residuel majore par (d'ou la propriete de lissage). 

La fonction lineaire est formee en materiel par exemple par un 
registre de 16 bits, c'est a dire 16 bascules elementaires D. En soft (en 
langage C), on le declare comme un mot de type unsigned short. 

La fonction lineaire de sortie comporte par exemple une entree 
30 serie 20 et une sortie parallele 21 sur un nombre de bits donn§, par exemple 
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8 bits, Elle produit un octet d 'a lea pour 16 avances de Thorloge et 16 
symboles binaires aleatoires extraits du codeur arithmetique. Ella comprend 
parexemple une memoire interne de 16 bits. 

Lorsqu'on represente I'etat interne par un polynome de degre au 
5 plus 1 5, la fonction de transition de cet automate est : 

U,^, <^(XU,^e^A)modP 
ou : 

> U, represente Tetat interne de I'automate a Finstant t ; 

> A est une constante multiplicative polynomiale egale 

> P est le polynome de rebouclage egal a 'A-h + ^ X^^ 

> est Tentree binaire a Tinstant t. 

L'automate est par exemple une fonction mathematique 
deterministe qui possede un etat interne evoluant au court du temps en 
15 fonction d'une fonction de transition, 

L'exemple chiffre donne ci-apres permet de mieux illustrer le 
principe de fonctionnement de invention. 
Choix des parametres du compresseur 

Le compresseur (codeur) arithmetique necessite une memoire 
20 pour stocker les donnees statistiques de la source. La taille t en nombre de 
mots de cette memoire est donnee par : 

OU : 

> r est Tordre du modele markovien considere; les probabilites d'apparition 
25 des symboles dependent des r symboles precedents de la source ; 
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> m est la taille d'ensemble des symboles si on considere des symboles 
binaires de n bits, on a m = 2" . 

Pour une taille de memoire donnee, 11 existe plusieurs 
combinaisons de parametres r et n envisageables. Pour une taille de 4 kilos 
5 mots, les deux choix extremes sont : 

> un modele d'ordre 0 avec des symboles de 12 bits; 

> un modele d'ordre 1 1 avec des symboles binaires. 

Une experience a ete conduite avec differentes valeurs des 
parametres r et n sur une source constituee de variables aleatoires de 
10 Bernoulli de parametre p = 0,6. Pour ce type de source, le taux maximal de 
compression, obtenue lorsque I'entropie des symboles en sortie du 
compresseur est maximale, est egal a 2.9. 

Les taux de compression observes sont donnes dans le tableau 1 . 
Pour minimiser Tentropie des symboles en sortie du compresseur, il faut 
15 chercher a obtenir le taux de compression le plus eleve. Ces r6sultats 
montrent qu'il est avantageux de travailler sur des symboles binaires. 

La baisse du taux de compression observe lorsqu'on augmente 
Tordre resulte du fait qu'il faut plus longtemps pour obtenir des resultats 
discriminants dans la table des statistiques. De plus, comme la source est 
20 d'ordre 0 dans cette experience, une compression d'ordre 0 suffit pour 
obtenir les meilleurs resultats. 

En conclusion, le choix est celui d'un modele d'ordre maximal qui 
opere sur des symboles binaires. 



25 
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Performances de I'extracteur 

Pour evaluer les performances de I'extracteur, la fonction de 
compression a ete soumise au test suivant. La fonction de compression 
opere sur des symboles binaires (n = 1) et un modele d'ordre r = 8. Deux 
5 modeles de sources ont ete simules : 

> Una source de Bernoulli de param^tre p; 

> Une source de Markov equidistribuee sur {o,l}^ et dont la transition est 
controlee par un parametre p; Cette source est de la forme : 

10 ou f est une fonction equidistribuee quelconque, et {yJ^^^ est une suite de 
variables aleatoires Independantes de m§me loi de Bernoulli et de parametre 
p; Les 8 premiers termes sont les composantes d'un vecteur al6atoire 

{XQ,...,X^)de loi uniforme sur {0,lf . 

Les deux sources ci-dessus ont ete choisies pour les raisons 

15 suivantes : 

1 . Elles modelisent un grand nombre de sources d"alea physique : 

- cas d'une source ou les symboles sont independants, mais non 
equidistribues ; 

- cas d'une source ou les symboles sont equidistribues, mais non 
20 independants ; 

2. On connait le taux de compression theoriquement atteignable pour ce 
type de source; il est egal a : 

t=100x{l^H(p)) ou 

-p est le parametre qui definit le biais de la source ; 



>-4 
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'H(p) est la fonction d'entropie binaire egale a - 21og2(p) - (1 - />)log2(l - p) 

Un plan de tests statistique classique de la source avant et apres 
compression donne les resultats suivants. La taille de la source est de 220 
octets et revaluation de Tentropie a ete effectuee sur fenetre coulissante 
5 jusqu'a Tordre 12. Les resultats sont consignes dans les tableaux 3 et 4, 
regroupant le taux de compression observe ainsi que le taux de compression 
maximal pour le type de source considere. 

L'examen des resultats montre que le taux de compression 
observe est tres proche du taux theorique. Lorsqu'il est soumis a une source 
10 de Markov d'ordre inferieur a Tordre du modele du compresseur, la sortie de 
ce dernier est consideree comme constitute de symboles aleatoires 
equidistribues et independants. 



Parametre p 


Test 

Statistique 
avant 

compression 


Taux de 

compression 

observe 


Test 

Statistique 
apres 

compression 


Taux de 

compression 

Theorique 


0,55 


KO 


0,5% 


OK 


0,7% 


0,6 


KO 


2,65% 


OK 


2,9% 




KO 


11,65% 


OK 


11,87% 


0,8 


KO 


27,65% 


OK 


27,8% 



Tableau 3: compression d'une source de bernoulli p 



15 
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Parametre p 


Test 

Statistique 
avant 

compression 


Taux de 

compression 

observe 


Test 

Statistique 
apres 

compression 


Taux de 

compression 

Theorique 


0,55 


KO 


0,697% 


OK 


0,7% 


0,6 


KO 


2,878% 


OK 


2,9% 


0,7 


KO 


11,834% 


OK 


11,87% 


0,8 


KO 


27,778% 


OK 


27,8% 



Tableau 4: compression d'une source de Markov equidistribuee 
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REVENDICATIONS 

1 - Generateur d'alea adapte ^ recevoir en entree un nombre de bits 
provenant d'une source physique quelconque caracterise en ce qu'il 

5 comporte en combinaison au moins une source physique generant des 
symboles, un codeur arithmetique et des moyens adaptes a lisser les biais 
residuels de sortie. 

2 - Generateur selon la revendication 1 caracterise en ce que les moyens 
10 adaptes a lisser les biais residuels de sortie sont constitues d'une fonction 

lineaire de sortie permettant de lisser les biais residuels de sortie. 

3 - Generateur selon Tune des revendications 1 et 2 caracterise en ce que le 
codeur arithmetique comporte au moins une table des statistiques sur les 

15 symboles d'entree recevant une information des contextes, plusieurs 
registres, un comparateur et une unite logique. 

4 - Generateur selon Tune des revendications 1 et 2 caracterise en ce que 
les moyens adaptes a lisser les biais comportent un registre, une entree 

20 serie et une sortie parallele. 

5 - Precede pour g6nerer des nombres aleatoires comportant en 
combinaison au moins les etapes suivantes : 

• Recevoir plusieurs symboles d'une source physique, 

25 • Transmettre les symboles a une etape de codeur arithmetique, 

• Lisser les symboles codes en utilisant une fonction lineaire. 

6 - Precede selon la revendication 5 caracterise en ce que I'etape de codage 
consiste a coder les symboles par un nombre issu de calculs d'intervalles 

30 emboTtes, un intervalle [ms, Ms] correspondant a un symbole s et ayant une 
taille proportionnelle a sa frequence d'occurrence. 
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7 - Procede selon la revendicatipn 6 caracterise en ce qu'il comporte au 
moins les etapes suivantes 

• Mettre a jour une table des statistiques (13) sur les symboles d'entree en 
fonction des contextes (12), i.e, les symboles precedents, 

• Calculer par une regie de trois, les nouvelles valeurs des bornes de 
rintervalle [ms, Ms], 

• Vider les registres des bits de poids fort qu'ils ont en commun. 

8 - Procede selon la revendication 6 caracterise en ce que le codage 
comprend les etapes suivantes 

1 . initialiser m -> Oat M 1 

2. mettre a jour pour cheque symbole s du message a 
comprimer : 

a. A <— Af — m ; 

b. /w <— w-hAxm, ; 
C. M <- m + AxM^ 

3. choisir le message comprime comme etant la derniere valeur 
de.m, 

9 - Procede selon la revendication 5 caracterise en ce que la fonction de 
lissage fait appel a un polynome de degre au plus egal a 15. 
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